Интересная статистика по DNS серверам в сети

21.11.2007 22:57

Опубликованы результаты исследования состояния DNS серверов в сети Интернет, по состоянию на октябрь 2007 года.

Некоторые результаты:

В сети приблизительно 11 700 000 DNS серверов (в августе 2006 года было 9 000 000);
В сети примерно 16 000 000 открытых резолверов (ПО для 57.8% из которых не определено).
ПО обеспечивающее работу DNS серверов:
- BIND 9 - 84.6%
- BIND 8 - 6.58%
- Microsoft Windows DNS 2000 - 4.6%
- PowerDNS - 1.55%
- Microsoft Windows DNS 2003 - 0.58%
- BIND 4 - 0.36%
- Microsoft Windows DNS NT4 - 0.27%
- Nominum ANS - 0.10%
- Cisco CNR - 0.05%
- Другие - 0.31%
52.1% всех серверов поддерживают анонимные рекурсивные запросы, что катастрофически с точки зрения безопасности;
31.1% всех серверов допускают трансфер зон;
0.27% DNS серверов поддерживают работу по IPv6;
0.0018% DNS серверов имеют DNSSEC записи;
12.6% зон имеют SPF запись.

В материале "DNS users put higher premium on security" представлен небольшой аналитический отчет, с упором на безопасность.

исправить +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/12878-dns

Ключевые слова: dns

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (30)

1.1, Delerium (?), 23:47, 21/11/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Про анонимные рекурсивные запросы по подробнее бы где нибудь почитать можно?

2.6, anton_lva (??), 00:42, 22/11/2007 [^] [^^] [^^^] [ответить]	+/–
Вот, именно поэтому, "52.1% всех серверов поддерживают анонимные рекурсивные запросы" =))) Когда же, накеонец, красноглазые одмины научатся пользоваться гуглом и мозгом?!

3.7, aim (??), 00:59, 22/11/2007 [^] [^^] [^^^] [ответить]	+/–
Моск, это конечно замечательно, но что даёт предпосылки для такого использования? не лучше ли ISC подумать о конфигурации, по-умолчанию не позволяющей такие вещи?!

4.8, anton_lva (??), 01:23, 22/11/2007 [^] [^^] [^^^] [ответить]	+/–
Странные у вас вопросы... Я даже не знаю, что на такое можно ответить.

5.9, anton_lva (??), 01:27, 22/11/2007 [^] [^^] [^^^] [ответить]	+/–
А почему мамаши младенцам памперсы не интегрируют при рождении? Не лучше ли придумать такую цепочку ДНК, чтобы они сами из задницы вырастали, тогда никто бы не обсерался. Как-то так...

4.14, iav (??), 07:56, 22/11/2007 [^] [^^] [^^^] [ответить]	+/–
Вообще-то, в отличие от многих других программ, у bind вообще нет в поставке файла «конфигурации по умолчанию», и именно необходимостью почитать документацию авторы аргументируют это отсутствие.

1.2, terminus (?), 23:55, 21/11/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Че-то, как-то, того-этого... А где там у них в статистике мой любимый djbdns? ;)

2.3, tim777 (?), 00:06, 22/11/2007 [^] [^^] [^^^] [ответить]	+/–
Наверное где-то здесь: "ПО для 57.8% из которых не определено"

3.5, w12 (?), 00:30, 22/11/2007 [^] [^^] [^^^] [ответить]

+/–

или здесь:

Другие - 0.31%

1.4, nowinter (?), 00:28, 22/11/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
IPv6 пока отдыхает во всех смыслах

1.10, 235 (?), 04:41, 22/11/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
вообще-то, сразу после отключения трансферов й рекурсивных запросов, рекомендуеться глушить вывод версии бинда, дабы не ловить експлоитов

1.11, Михалыч (?), 07:02, 22/11/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Невижу ничего плохого в трансфере зон... а вот рекурсивность и версию бинда - давно закрыл.

2.12, baverman (??), 07:20, 22/11/2007 [^] [^^] [^^^] [ответить]	+/–
Трансфер зон дает великолепную карту сервисов, на которые можно проводить атаки.

3.17, anonymous (??), 09:21, 22/11/2007 [^] [^^] [^^^] [ответить]	+/–
да-да-да :) secure by obscure. Вместо того, чтобы обновлять ПО, давайте его спрячем, авось не найдут.

4.19, baverman (??), 10:30, 22/11/2007 [^] [^^] [^^^] [ответить]	+/–
Некоторые индивидусы пытаются найти дополнительный смысл между строк, какие-то левые намеки. Почему запрет трансфера предполагает необновление?

5.20, GR (??), 10:46, 22/11/2007 [^] [^^] [^^^] [ответить]	+/–
>Некоторые индивидусы пытаются найти дополнительный смысл между строк, какие-то левые намеки. Почему >запрет трансфера предполагает необновление? Нет но "карта" сервисов не может являться причиной отключения трансфера.

6.21, KdF (??), 11:22, 22/11/2007 [^] [^^] [^^^] [ответить]

+/–

>>Некоторые индивидусы пытаются найти дополнительный смысл между строк, какие-то левые намеки. Почему
>>запрет трансфера предполагает необновление?
>
>Нет но "карта" сервисов не может являться причиной отключения трансфера.

Первое что делает атакующий - пытается получить и систематизировать знания о системе (системах). Трансфер зоны оказывает ему в этом неоценимую услугу =)

Хотя бы тупо позволяет узнать названия виртуальных хостов на веб-сервере. И security by obscurity здесь ни при чем, ведь план организации сигнализации помещений банка наверное не висит в каждом отделении на стене объявлений.

7.24, anonymous (??), 12:12, 22/11/2007 [^] [^^] [^^^] [ответить]	+/–
>[оверквотинг удален] >>>запрет трансфера предполагает необновление? >> >>Нет но "карта" сервисов не может являться причиной отключения трансфера. > >Первое что делает атакующий - пытается получить и систематизировать знания о системе >(системах). Трансфер зоны оказывает ему в этом неоценимую услугу =) > >Хотя бы тупо позволяет узнать названия виртуальных хостов на веб-сервере. И security >by obscurity здесь ни при чем, ведь план организации сигнализации помещений >банка наверное не висит в каждом отделении на стене объявлений. Если сигнализация установлена и настроена грамотно, подведено резервное питание и т.д., то план можно хоть в газете печатать - сигнализацию обойти не получится

8.25, baverman (??), 12:17, 22/11/2007 [^] [^^] [^^^] [ответить]	+/–
Угу Рыцарь без страха и упрека Настоящий индеец Гуру администрирования ... текст свёрнут, показать

9.26, anonymous (??), 12:51, 22/11/2007 [^] [^^] [^^^] [ответить]	+/–
Да нет Я прекрасно знаю, где и чего надо у меня закрыть и поправить К сожале... текст свёрнут, показать

1.13, Аноним (13), 07:35, 22/11/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Верояно, 57.8% админов всё-таки пользуются гуглом и мозгом...

1.15, adil_18 (??), 08:55, 22/11/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
интересно, у кого тут есть SPF records ??? :-D

2.16, Keeper (??), 09:00, 22/11/2007 [^] [^^] [^^^] [ответить]	+/–
У меня есть. Пользы не заметил.

3.18, anonymous (??), 09:49, 22/11/2007 [^] [^^] [^^^] [ответить]	+/–
У меня есть, польза есть, когда тупорылые спамеры начнут слать спам якобы от твоего домена тогда заметишь

4.27, Тушкан (?), 14:09, 22/11/2007 [^] [^^] [^^^] [ответить]	+/–
Где подробнее почитать на эту тему ?

1.22, Golub Mikhail (ok), 11:27, 22/11/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Использую SPF уже год наверное - толк есть.

1.28, Омммм (?), 14:49, 22/11/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
тоже использую уже как год, как отмывал себя из блеков так и продолжаю отмывать... (это при том, что у меня никого нету в нате и почта тока по авторизации отсылается) имхо отдача от SPF появится, когда им будут пользоватся не тока в днс записи но и на почтовых демонах, а на них SPF из коробки не поддерживаетсо (плуги/патчи ясен пень есть... короч опять возвращаемся к "вменяимому по умолчанию")

1.29, dukie (??), 17:04, 22/11/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Вот кстати рекомендую: http://www.dnsstuff.com/ Чекер зоны - многое вам расскажет и про трансфер и про рекурсию и про spf и даст рекомендации как исправить.

1.30, anesth (ok), 14:06, 08/12/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
бугагагага dig @ns.mia.gov.ua mia.gov.ua axfr

1.31, XD (?), 04:03, 15/12/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> бугагагага > dig @ns.mia.gov.ua mia.gov.ua axfr +1 Apache/1.3.27 Server at stssrc.mia.gov.ua Port 80

игнорирование участников | лог модерирования

Добавить комментарий

Текст: